Создание и развертывание политик защиты от вредоносных программ для Endpoint Protection в Configuration Manager

 

Применимо к:System Center 2012 R2 Endpoint Protection, System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 Endpoint Protection SP1, System Center 2012 Endpoint Protection, System Center 2012 R2 Configuration Manager SP1

Позволяет развертывать политики защиты от вредоносных программ к коллекциям Microsoft System Center 2012 Configuration Manager клиентских компьютеров, чтобы указать способ Endpoint Protection защищает их от вредоносных программ и других угроз.Эти политики защиты от вредоносных программ содержатся сведения о расписании проверок, типы файлов и папок, а действия, выполняемые при обнаружении вредоносных программ.При включении Endpoint Protection, применяется политика защиты от вредоносных программ по умолчанию на клиентских компьютерах.Можно также использовать дополнительные стандартные шаблоны политик или создать собственные настраиваемые политики в соответствии с конкретными потребностями среды.

System_CAPS_noteПримечание

Configuration Manager включает несколько стандартных шаблонов, оптимизированных для использования в различных сценариях, которые можно импортировать в Configuration Manager.Эти шаблоны доступны в папке < папка="" установки="" configuration="" manager="">\AdminConsole\XMLStorage\EPTemplates.

System_CAPS_importantВажно

При создании и развертывании новой политики защиты от вредоносных программ для коллекции такая политика переопределяет политику по умолчанию.

Используйте процедуры этого раздела для создания или импорта политики защиты от вредоносных программ и их назначение System Center 2012 Configuration Manager клиентских компьютеров в иерархии.

System_CAPS_noteПримечание

Прежде чем выполнять эти процедуры, убедитесь, что настройки Configuration Manager поддерживают использование Endpoint Protection (см. раздел Настройка защиты от конечной точки в диспетчере конфигурации).

Изменение политики защиты от вредоносных программ по умолчанию

  1. В консоли Configuration Manager щелкните элемент Активы и соответствие.

  2. В активы и соответствие рабочей области, разверните Endpoint Protection, а затем нажмите кнопку политики защиты от вредоносных программ.

  3. Выберите политику Политика защиты клиента от вредоносных программ по умолчанию, а затем на вкладке Главная в группе Свойства, щелкните элемент Свойства.

  4. В диалоговом окне Политика защиты от вредоносных программ по умолчанию настройте необходимые параметры этой политики и нажмите кнопку ОК.

    System_CAPS_noteПримечание

    Список параметров, которые можно настроить в разделе Список параметров политики защиты от вредоносных программ в этом разделе.

Создание политики защиты от вредоносных программ

  1. В консоли Configuration Manager щелкните элемент Активы и соответствие.

  2. В активы и соответствие рабочей области, разверните Endpoint Protection, а затем нажмите кнопку политики защиты от вредоносных программ.

  3. На вкладке Главная в группе Создать щелкните элемент Создать политику защиты от вредоносных программ.

  4. В Общие раздел Создание политики защиты от вредоносных программ диалоговом окне введите имя и описание для политики.

  5. В диалоговом окне Создание политики защиты от вредоносных программ настройте необходимые параметры этой политики и нажмите кнопку ОК.

    System_CAPS_noteПримечание

    Список параметров, которые можно настроить в разделе Список параметров политики защиты от вредоносных программ в этом разделе.

  6. Убедитесь, что созданная политика отображается в списке Политики защиты от вредоносных программ.

Импорт политики защиты от вредоносных программ

  1. В консоли Configuration Manager щелкните элемент Активы и соответствие.

  2. В активы и соответствие рабочей области, разверните Endpoint Protection, а затем нажмите кнопку политики защиты от вредоносных программ.

  3. На вкладке Главная в группе Создать нажмите кнопку Импорт.

  4. В Откройте диалоговое окно, перейдите к файлу политики для импорта и нажмите кнопку Откройте.

  5. В диалоговом окне Создание политики защиты от вредоносных программ просмотрите используемые параметры и нажмите кнопку ОК.

  6. Убедитесь, что созданная политика отображается в списке Политики защиты от вредоносных программ.

Развертывание политики защиты от вредоносных программ на клиентских компьютерах

  1. В консоли Configuration Manager щелкните элемент Активы и соответствие.

  2. В активы и соответствие рабочей области, разверните Endpoint Protection, а затем нажмите кнопку политики защиты от вредоносных программ.

  3. В политики защиты от вредоносных программ выберите политику защиты от вредоносных программ для развертывания.Затем на Главная вкладке развертывания щелкните Развернуть.

    System_CAPS_noteПримечание

    Параметр Развернуть нельзя использовать со стандартной политикой защиты от вредоносных программ клиента.

  4. В диалоговом окне Выбор коллекции выберите коллекцию устройств, для которой требуется выполнить развертывание политики, и нажмите кнопку ОК.

Список параметров политики защиты от вредоносных программ

Многие параметры защиты от вредоносных программ имеют описательные имена.Следующие разделы содержат дополнительные сведения о параметрах, о которых, возможно, потребуется получить больше информации перед развертыванием.

Запланированные проверки

Имя параметра

Описание

Тип проверки

Можно указать один из двух типов проверки для запуска на клиентских компьютерах:

  • Быстрая проверка — этот тип сканирования для проверки процессов в памяти и папок, в которых обычно находится вредоносных программ.(этот тип требует меньше ресурсов, чем полная проверка);

  • Полная проверка — выполнение полной проверки всех локальных папок и файлов помимо элементов, обрабатываемых во время быстрой проверки.Эта проверка занимает больше времени и использует больше ресурсов ЦП и памяти на клиентских компьютерах.

Как правило, используется быстрая проверка с целью свести к минимуму влияние на системные ресурсы клиентских компьютеров.Если удаление вредоносных программ требует проведения полной проверки, Endpoint Protection создает предупреждение, отображаемое в консоли Configuration Manager.

Значением по умолчанию является Быстрая проверка.

Случайный выбор времени запуска запланированной проверки (в пределах 30 минут)

Выберите True (Configuration Manager без пакетов обновления) или Да (Configuration Manager с пакетом обновления 1) Если вы хотите избежать перегрузки сети, что может произойти, если все компьютеры отправляют их защиты от вредоносных программ просматривает результаты Configuration Manager базы данных, в то же время.

Эта настройка также полезна в ситуациях, когда несколько виртуальных машин выполняется на одном узле.Выберите этот параметр, чтобы уменьшить объем дисков одновременно доступ для сканирования защиты от вредоносных программ.

System_CAPS_noteПримечание

В Configuration Manager 1 (SP1), этот параметр появляется в Дополнительно раздел параметров политики защиты от вредоносных программ.

Параметры проверки

Имя параметра

Описание

Проверять сетевые диски при выполнении полной проверки

Значение True (Configuration Manager без пакетов обновления) или Да (Configuration Manager с пакетом обновления 1) Если необходимо сканировать все подключенные сетевые диски на клиентских компьютерах.

System_CAPS_importantВажно

Если включить этот параметр, время выполнения проверки на клиентских компьютерах может сильно возрасти.

Действия по умолчанию

Выберите действие, которое будет выполняться при обнаружении вредоносных программ на клиентских компьютерах.Следующие действия можно применять в зависимости от оповещения об уровне угрозы обнаруженной вредоносной программы.

  • Рекомендуется — применяется действие, рекомендуемое в файле определения вредоносных программ.

  • Карантин — вредоносная программа помещается в карантин, но не удаляется.

  • Удалить — удаление вредоносной программы с компьютера.

  • Разрешить — запрет удаления и помещения вредоносной программы в карантин.

Защита в режиме реального времени

Имя параметра

Описание

Включить защиту в режиме реального времени

Значение True (Configuration Manager без пакетов обновления) или Да (Configuration Manager SP1), если требуется настроить параметры защиты в реальном времени для клиентских компьютеров.Рекомендуется включить этот параметр.

Наблюдать за действиями файлов и программ на компьютере

Значение True (Configuration Manager без пакетов обновления) или Да (Configuration Manager SP1), если требуется Endpoint Protection Чтобы отслеживать запуск файлов и программ на клиентских компьютерах и оповещать вас о действиях, выполняемых или действия, производимые над ними.

Проверять системные файлы

Этот параметр позволяет настроить ли входящих, исходящих или входящих и исходящих системных файлов, контролируемых на наличие вредоносных программ.Из соображений производительности может потребоваться изменить значение по умолчанию проверка входящих и исходящих файлов Если сервер имеет высокий входящий или исходящий файл действия.

Включить контроль поведения

Включите этот параметр, чтобы использовать данные файлов и действий компьютера для обнаружения неизвестных угроз.Если этот параметр включен, это может увеличить время, необходимое для проверки компьютеров.

Включить защиту от сетевых эксплойтов

Включите этот параметр, чтобы защитить компьютеры от известных сетевых эксплойтов путем проверки сетевого трафика и блокирования подозрительных действий.

Включить проверку сценариев

Для Configuration Manager только без пакета обновления.

Включите этот параметр, если требуется выполнить проверку сценариев, запускаемых на компьютерах на предмет подозрительной активности.

Параметры исключения

Имя параметра

Описание

Исключенные файлы и папки

Щелкните установить Открытие настроить файл и папка исключений диалоговое окно и укажите имена файлов и папок, чтобы исключить из Endpoint Protection просматривает.

Если вы хотите исключить файлы и папки, расположенные на подключенном сетевом диске, укажите имя каждой папки в сетевом диске по отдельности.Например если он содержит подпапки с именем папка1 сопоставленный сетевой диск как F:\MyFolder, Folder2 и 3 папки, указать следующие исключения:

  • F:\MyFolder\Folder1

  • F:\MyFolder\Folder2

  • F:\MyFolder\Folder3

Дополнительно

Имя параметра

Описание

Включить сканирование точка повторной обработки

Для System Center 2012 Configuration Manager с пакетом обновления 1 (SP1) и более поздних версий:

Значение Да Если требуется Endpoint Protection сканирование NTFS точки повторной обработки.

Дополнительные сведения о точки повторной обработки в разделе точки повторной обработки в центре разработчиков Windows.

Переопределения угроз

Имя параметра

Описание

Имя угрозы и действие переопределения

Нажмите кнопку Задать, чтобы настроить действия по исправлению, которые будут предприниматься при обнаружении во время проверки угроз с определенными идентификаторами.

System_CAPS_noteПримечание

Список имен угроз могут оказаться недоступными сразу после настройки Endpoint Protection.Подождите, пока Endpoint Protection точка синхронизации сведения угроз и повторите попытку.

Обновления определений

Имя параметра

Описание

Задать источники и порядок для Endpoint Protection обновления клиента

Щелкните задать источник для указания источников для определения и проверки наличия обновлений ядра и также указать порядок, в котором они используются.Если Configuration Manager указана как один из источников данных, другие источники используются, только если обновлений не удается загрузить обновления клиента.

При использовании любого из следующих способов обновления определений на клиентских компьютерах, на клиентских компьютерах необходимо иметь доступ к Интернет.

  • обновления, распространяемые через центр обновления Майкрософт;

  • обновления, распространяемые через центр Майкрософт по защите от вредоносных программ.

System_CAPS_importantВажно

Клиенты загружают обновления определений с помощью встроенной системной учетной записи.Для этой учетной записи необходимо настроить прокси-сервер, чтобы такие клиенты могли подключаться к Интернету.

Если вы настроили правила автоматического развертывания обновлений программного обеспечения для доставки обновлений определений на клиентских компьютерах, эти обновления будут устанавливаться независимо от настроек обновления определений.